一 介绍
如题所示,最近zabbix官网公布了一个最新的SQL注入漏洞,影响最新的稳定版3.0.3。官方的通报地址如下:https://support.zabbix.com/browse/ZBX-11023
2016年8月12日,1n3通过邮件披露了Zabbix软件的jsrpc.php文件在处理profileIdx2参数时存在insert方式的SQL注入漏洞,与官方通告的latest.php文件在处理toggle_ids参数时存在insert方式的SQL注入漏洞属于同一类型的漏洞,只是攻击的位置不同。攻击者可以使用guest账户或者已经认证的账户登录,然后利用此漏洞直接获取服务器的操作系统权限
影响版本:ZABBIX 2.0.5 2.0.13 2.2.x 2.4.2 2.4.5 2.4.7 2.4.8 2.5.0 3.0.0-3.0.3
二 升级zabbix到3.0.4
(1)备份原来的php文件:
Shell
[root@nmp01 ~]# cd /usr/local/nginx/html/zabbix
[root@nmp01 html]# tar -zcvf ../backup.tar.gz *
1
2
3[root@nmp01~]# cd /usr/local/nginx/html/zabbix
[root@nmp01html]# tar -zcvf ../backup.tar.gz *
(2)下载zabbix3.0.4源代码:
解压之后将~/zabbix-3.0.4/frontends/php/ 路径下的所有文件打包并上传到服务器
(3)删除原来所有的/usr/local/nginx/html/zabbix目录下的文件,并将新文件解压缩到这个目录
(4)将备份的zabbix.conf.php文件还原到/usr/local/nginx/html/zabbix/conf/目录
到此全部备份升级完成
参考文章: